sudo 命令允許特權使用者以 root 使用者身份執行全部或部分命令，但是理解其能做什麼和不能做什麼很有幫助。

在你想要使用超級許可權臨時執行一條命令時，sudo 命令非常方便，但是當它不能如你期望的工作時，你也會遇到一些麻煩。比如說你想在某些日誌檔案結尾新增一些重要的資訊，你可能會嘗試這樣做：

1. $ echo"Important note">>/var/log/somelog
2. -bash:/var/log/somelog:Permission denied

好吧，看起來你似乎需要一些額外的特權。一般來說，你不能使用你的使用者賬號向系統日誌中寫入東西。我們使用 sudo 再嘗試一次吧。

1. $ sudo!!
2. sudoecho"Important note">>/var/log/somelog
3. -bash:/var/log/somelog:Permission denied

嗯，它還是沒有啥反應。我們來試點不同的吧。

1. $ sudo'echo "Important note" >> /var/log/somelog'
2. sudo:echo"Important note">>/var/log/somelog: command not found

接下來該幹什麼？

上面在執行完第一條命令後的迴應顯示，我們缺少向日志文件寫入時必須的特權。第二次，我們使用 root 許可權運行了第一次的命令，但是返回了一個“沒有許可權”的錯誤。第三次，我們把整個命令放在一個引號裡面再運行了一遍，返回了一個“沒有發現命令”的錯誤。所以，到底錯在哪裡了呢？

• 第一條命令：沒有 root 特權，你無法向這個日誌中寫入東西。
• 第二條命令：你的超級許可權沒有延伸到重定向。
• 第三條命令：sudo 不理解你用引號括起來的整個 “命令”。

而且如果你的使用者還未新增到 sudo 使用者組的時候，如果嘗試使用 sudo，你可能已經看到過像下面的這麼一條錯誤了：

1. nemo isnotin the sudoers file.This incident will be reported.

你可以做什麼？

一個相當簡單的選擇就是使用 sudo 命令暫時成為 root。鑑於你已經有了 sudo 特權，你可以使用下面的命令執行此操作：

1. $ sudosu
2. [sudo] password for nemo:
3. #

注意這個改變的提示符表明了你的新身份。然後你就可以以 root 執行之前的命令了：

1. #echo"Important note">>/var/log/somelog

接著你可以輸入 ^d 返回你之前的身份。當然了，一些 sudo 的配置可能會阻止你使用 sudo 命令成為 root。

另一個切換使用者為 root 的方法是僅用 su 命令，但是這需要你知道 root 密碼。許多人被賦予了訪問 sudo 的許可權，而並不知道 root 密碼，所以這並不是總是可行。

（採用 su 直接）切換到 root 之後，你就可以以 root 的身份執行任何你想執行的命令了。這種方式的問題是：1) 每個想要使用 root 特權的人都需要事先知道 root 的密碼（這樣不很安全）；2) 如果在執行需要 root 許可權的特定命令後未能退出特權狀態，你的系統可能會受到一些重大錯誤的波及。sudo 命令旨在允許您僅在真正需要時使用 root 許可權，並控制每個 sudo 使用者應具有的 root 許可權。它也可以使你在使用完 root 特權之後輕鬆地回到普通使用者的狀態。

另外請注意，整個討論的前提是你可以正常地訪問 sudo，並且你的訪問許可權沒有受限。詳細的內容後面會介紹到。

還有一個選擇就是使用一個不同的命令。如果通過編輯檔案從而在其後新增內容是一種選擇的話，你也許可以使用 sudo vi /var/log/somelog，雖然編輯一個活躍的日誌檔案通常不是一個好主意，因為系統可能會頻繁的向這個檔案中進行寫入操作。

最後一個但是有點複雜的選擇是，使用下列命令之一可以解決我們之前看到的問題，但是它們涉及到了很多複雜的語法。第一個命令允許你在得到 “沒有許可權” 的拒絕之後可以使用 !! 重複你的命令：

1. $ sudoecho"Important note">>/var/log/somelog
2. -bash:/var/log/somelog:Permission denied
3. $ !!:gs/>/|sudo tee -a /<=====
4. $ tail-1/var/log/somelog
5. Important note

第二種是通過 sudo 命令，把你想要新增的資訊傳遞給 tee。注意，-a 指定了你要附加文字到目標檔案：

1. $ echo"Important note"|sudotee-a /var/log/somelog
2. $ tail-1/var/log/somelog
3. Important note

sudo 有多可控？

回答這個問題最快速的回答就是，它取決於管理它的人。大多數 Linux 的預設設定都非常簡單。如果一個使用者被安排到了一個特別的組中，例如 wheel 或者 admin 組，那這個使用者無需知道 root 的密碼就可以擁有執行任何命令的能力。這就是大多數 Linux 系統中的預設設定。一旦在 /etc/group 中添加了一個使用者到了特權組中，這個使用者就可以以 root 的權力執行任何命令。另一方面，可以配置 sudo，以便一些使用者只能夠以 root 身份執行單一指令或者一組命令中的任何一個。

如果把像下面展示的這些行新增到了 /etc/sudoers 檔案中，例如 “nemo” 這個使用者可以以 root 身份執行 whoami 命令。在現實中，這可能不會造成任何影響，它非常適合作為一個例子。

1. #Useralias specification
2. nemo ALL=(root) NOPASSWD: WHOAMI
3. #Cmndalias specification
4. Cmnd_Alias WHOAMI =/usr/bin/whoami

注意，我們添加了一個命令別名（Cmnd_Alias），它指定了一個可以執行的命令的全路徑，以及一個使用者別名，允許這個使用者無需密碼就可以使用 sudo 執行的單個命令。

當 nemo 執行 sudo whoami 命令的時候，他將會看到這個：

1. $ sudowhoami
2. root

注意這個，因為 nemo 使用 sudo 執行了這條命令，whoami 會顯示該命令執行時的使用者是 root。

至於其他的命令，nemo 將會看到像這樣的一些內容：

1. $ sudodate
2. [sudo] password for nemo:
3. Sorry, user nemo isnot allowed to execute '/bin/date'as root on butterfly.

sudo 的預設設定

在預設路徑中，我們會利用像下面展示的 /etc/sudoers 檔案中的幾行：

1. $ sudo egrep "admin|sudo"/etc/sudoers
2. #Members of the admin group may gain root privileges
3. %admin ALL=(ALL) ALL <=====
4. #Allow members of group sudo to execute any command
5. %sudo ALL=(ALL:ALL) ALL <=====

在這幾行中，%admin 和 %sudo 都說明了任何新增到這些組中的人都可以使用 sudo 命令以 root 的身份執行任何命令。

下面列出的是 /etc/group 中的一行，它意味著每一個在該組中列出的成員，都擁有了 sudo 特權，而無需在 /etc/sudoers 中進行任何修改。

1. sudo:x:27:shs,nemo

總結

sudo 命令意味著你可以根據需要輕鬆地部署超級使用者的訪問許可權，而且只有在需要的時候才能賦予使用者非常有限的特權訪問許可權。你可能會遇到一些與簡單的 sudo command 不同的問題，不過在 sudo 的迴應中應該會顯示你遇到了什麼問題。

via: https://www.networkworld.com/article/3322504/linux/selectively-deploying-your-superpowers-on-linux.html

作者：Sandra Henry-Stocker 選題：lujun9972 譯者：dianbanjiu 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出